linux默认的锁定用户时间设置,linux用户登录失败n次-锁定用户(几分钟后该用户再自动解锁)...

linux用户登录失败n次-锁定用户(几分钟后该用户再自动解锁)

(6页)

本资源提供全文预览，点击全文预览即可全文预览,如果喜欢文档就下载吧，查找使用更方便哦！

9.90 积分

数据交换平台加固方案 1.设置密码复杂度策略设置密码复杂度策略 .1 2.登录失败锁定策略登录失败锁定策略.1 2.1.确定使用PAM_TALLY2.SO 模块还是PAM_TALLY.SO 模块1 2.2.使用PAM_TALLY2.SO 模块限制用户登录失败 N 次锁定用户(几分钟后自动解锁).2 远程ssh登录限制方法(常用).2 查看用户登录失败的次数并解锁命令3 Suse Linux 多次登录失败锁定用户及解锁3 手动锁定用户禁止使用3 本地字符终端登录限制方法(不常用)4 本地图形登录限制方法(不常用)5 2.3.使用PAM_TALLY.SO 模块限制用户登录失败 N 次锁定用户(几分钟后自动解锁).5 如果想在所有登陆方式上，限制所有用户5 只在本地文本终端上做限制5 只在图形化登陆界面上做限制，5 只在远程telnet、ssh登陆上做限制.5 手动解除锁定：6 pam_tally没有自动解锁功能.6 添加crontab任务(达到定时自动解锁的功能)6 1.设置密码复杂度策略设置密码复杂度策略 备份方法： cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak 加固方法: 添加以下内容 auth required pam_tally.so deny=5 unlock_time=600 no_lock_time account required pam_tally.so 回退方法： rsync –avp /etc/pam.d/system-auth_bak /etc/pam.d/system-auth 2.登录失败锁定策略登录失败锁定策略 2.1.2.1. 确定使用确定使用 pam_tally2.so 模块还是模块还是 pam_tally.so 模块模块 使用下面命令，查看系统是否含有 pam_tally2.so 模块，如果没有，就需要使用 pam_tally.so 模块， 两个模块的使用方法不太一样，需要区分开来。 2.2.2.2. 使用使用 pam_tally2.sopam_tally2.so 模块限制用户登录失败模块限制用户登录失败 N N 次锁定用户(几分钟后自动解锁)次锁定用户(几分钟后自动解锁) Linux 有一个有一个 pam_tally2.so 的的 PAM 模块，来限定用户的登录失败次数，如果次数达到设置模块，来限定用户的登录失败次数，如果次数达到设置 的阈值，则锁定用户。的阈值，则锁定用户。 远程远程 ssh 登录限制方法(常用)登录限制方法(常用) 如果想限制远程登录，需要改 SSHD 文件(可以只限制远程登录而不限制 tty 登录即只对 sshd 文件增加此限制) ，在在#%PAM-1.0 的下面，即第二行，添加内容，一定要写在前面，的下面，即第二行，添加内容，一定要写在前面， 如果写在后面，虽然用户被锁定，但是只要用户输入正确的密码，还是可以登录的！如果写在后面，虽然用户被锁定，但是只要用户输入正确的密码，还是可以登录的！ 失败效果(远程 ssh 登录；这个远程 ssh 的时候，没有提示，我用的是 Xshell，不知道其它 终端有没提示，只要超过设定的值，输入正确的密码也是登陆不了的！)如下： 也可以直接在 system-auth 文件中直接添加这些命令，修改完成后，凡是调用 system-auth 文件的 服务，都会生效。因为有自动解锁时间，所以，不用担心全部限制后，会出现永远无法登陆的“尴尬”情况。 查看用户登录失败的次数并解锁命令查看用户登录失败的次数并解锁命令 Suse Linux 多次登录失败锁定用户及解锁多次登录失败锁定用户及解锁 在服务器端以 root 用户登录 执行命令： # faillog –a 查看用户登录错误次数 如果超过三次的话，用户不能登录并且此后登录用户错误登录次数还是会增加。 在登录错误次数不满三次时，登录成功后，则这个用户登录错误值将清零，退出后重新 telnet 登录将采用新的计数。 # faillog -u user –r 清空指定用户 user 的错误登录次数 # faillog –r 清空所有用户错误登录次数 /var/log/faillog 会自动生成，里边记录用户登录失败次数等信息 手动锁定用户禁止使用手动锁定用户禁止使用 可以用 usermod 命令来锁定用户密码，使密码无效，该用户名将不能使用。 锁定命令： usermod -L 用户名 解锁命令：usermod -U 用户名 本地字符终端登录限制方法(不常用)本地字符终端登录限制方法(不常用) 在在#%PAM-1.0 的下面，即第二行，添加内容，一定要写在前面，如果写在后面，虽然用户的下面，即第二行，添加内容，一定要写在前面，如果写在后面，虽然用户 被锁定，但是只要用户输入正确的密码，还是可以登录的！被锁定，但是只要用户输入正确的密码，还是可以登录的！ 失败效果(tty 登录)如下图： 本地图形登录限制方法(不常用)本地图形登录限制方法(不常用) 2.3.2.3. 使用使用 pam_tally.sopam_tally.so 模块限制用户登录失败模块限制用户登录失败 N N 次锁定用户(几分钟后自动解锁)次锁定用户(几分钟后自动解锁) 如果想在所有登陆方式上，限制所有用户如果想在所有登陆方式上，限制所有用户 可以在 /etc/pam.d/system-auth 中增加 2 行 如果不想限制 root 用户，可以将 even_deny_root_account 取消掉。 只在本地文本终端上做限制只在本地文本终端上做限制 可以编辑如下文件，添加的内容和上方一样。 vi /etc/pam.d/login 只在图形化登陆界面上做限制，只在图形化登陆界面上做限制， 可以编辑如下文件，添加的内容和上方也一样。 vi /etc/pam.d/kde 只在远程只在远程 telnet、、ssh 登陆上做限制登陆上做限制 可以编辑如下文件，添加的内容和上方也一样。 vi /etc/pam.d/remote vi /etc/pam.d/sshd 手动解除锁定：手动解除锁定： 查看某一用户错误登陆次数： 查看 work 用户的错误登陆次数： pam_tally –user work 清空某一用户错误登陆次数： 清空 work 用户的错误登陆次数， pam_tally –user work –reset faillog -r 命令亦可。 pam_tally 没有自动解锁功能没有自动解锁功能 因为 pam_tally 没有自动解锁的功能，所以，在设置限制时，要多加注意，万一全做了限制，而 root 用 户又被锁定了，就只能够进单用户模式解锁了，当然，也可以添加 crontab 任务，达到定时自动解锁的 功能，但需要注意的是，如果在/etc/pam.d/system-auth 文件中添加了 pam_tally 的话，当 root 被 锁定后，crontab 任务会失效，所以，最好不要在 system-auth 文件中添加 pam_tally。 添加添加 crontab 任务(达到定时自动解锁的功能)任务(达到定时自动解锁的功能) root 用户执行 crontab -e 命令，添加如下内容 意思是，每 1 分钟，将所有用户登陆失败的次数清空，并将所有用户解锁。 关 键 词： linux 用户 登录 失败 锁定 分钟 自动 解锁

 天天文库所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。

关于本文

本文标题：linux用户登录失败n次-锁定用户(几分钟后该用户再自动解锁)

链接地址： https://www.wenku365.com/p-33523654.html